Berechtigung

[mic74]

Hab da auch mal ein kleines Problem.
Wir haben einen User, der nur von einem Programm genutzt wird um Daten abzulegen. Nun hat, wie auch immer, der User die Daten im QSYS abgelegt. Nun soll ich für den User die QSYS sperren, damit er dort keine Files mehr ablegen kann. Allerdings soll er auf die Produktionsordner Zugriff haben.
Kann ich nun den User in der QSYS auf *EXCLUDE setzen und in den anderen LIBS manuell hinzufügen ?
In der QSYS authority steht public auf *ALL.
Hab nur die Befürchtung, daß nichts mehr geht, wenn QSYS excluded ist.

Danke

[BenderD]

public *all für die QSYS.LIB ist fatal
*exclude auf QSYS für einen User ist ebenfalls fatal
normal ist public *use für die QSYS.LIB

wer hat denn bei euch an der Möhre rumgeschrappt?

D*B

Hab da auch mal ein kleines Problem.
Wir haben einen User, der nur von einem Programm genutzt wird um Daten abzulegen. Nun hat, wie auch immer, der User die Daten im QSYS abgelegt. Nun soll ich für den User die QSYS sperren, damit er dort keine Files mehr ablegen kann. Allerdings soll er auf die Produktionsordner Zugriff haben.
Kann ich nun den User in der QSYS auf *EXCLUDE setzen und in den anderen LIBS manuell hinzufügen ?
In der QSYS authority steht public auf *ALL.
Hab nur die Befürchtung, daß nichts mehr geht, wenn QSYS excluded ist.

Danke

[holgerscherer]

wer hat denn bei euch an der Möhre rumgeschrappt?

Ich würde das eher groben Vorsatz nennen. Vielleicht Altlasten aus Zeiten einer Umstellung von SecLvl20 -> 30, als auf einmal nix mehr ging?

-h

[mic74]

Bin selbst erst seit knapp 3 Monaten hier und soll das nun alles anpassen.
Glücklicherweise bekommen wir in wenigen Wochen ein Testsystem, da kann ich dann alles richtig einstellen und dann auf die Produktionsmaschine übertragen.
Na ja, dann werd ich hier mal die Berechtigungen anpassen.
Hier haben mir auch zuviele Service User die ALLOBJ Berechtigung. Nur kann mir keiner sagen, ob die wirklich benötigt werden.

Danke

[BenderD]

Hallo,

erstmal gibt es einen QSECOFR (entspricht root in Unix), der muss alles dürfen, was es zu dürfen gibt (sonst mauert man sich raus, von dieser Sorte gibt es dann maximal einen eigenen Clon (MySecofr z.B., damit sich zwei gegenseitig kontrollieren dürfen.

*SERVICE braucht kein weiteres eigenes Profil.

Die angelegten IBM Profile mit *SERVICE haben alle Kennwort *NONE (werden nur intern benötigt -> in Unix heißen deren Jobs Dämon).
Dann gibt es zwei "Technikerprofile" QSRV (hat *SERVICE und *JOBCTL) und QSRVBAS(hat *JOBCTL), die haben Kennwort *NONE und kriegen bei Bedarf eines verpasst.

alles andere ist Murks!

D*B

Bin selbst erst seit knapp 3 Monaten hier und soll das nun alles anpassen.
Glücklicherweise bekommen wir in wenigen Wochen ein Testsystem, da kann ich dann alles richtig einstellen und dann auf die Produktionsmaschine übertragen.
Na ja, dann werd ich hier mal die Berechtigungen anpassen.
Hier haben mir auch zuviele Service User die ALLOBJ Berechtigung. Nur kann mir keiner sagen, ob die wirklich benötigt werden.

Danke